<!DOCTYPE html><html lang="zh-CN" data-theme="light"><head><meta charset="UTF-8"><meta http-equiv="X-UA-Compatible" content="IE=edge"><meta name="viewport" content="width=device-width, initial-scale=1.0,viewport-fit=cover"><title>SpringCloudPractice02 | 静待花开</title><meta name="author" content="brad 随风起舞"><meta name="copyright" content="brad 随风起舞"><meta name="format-detection" content="telephone=no"><meta name="theme-color" content="#ffffff"><meta name="description" content="SpringCloud权限认证 启用SSL(Secure Socket Layer)  认证和授权(Authentication and Authorization)  OAuth2   启用SSL基础目前为止,我们使用http协议,http使用简单文本传输数据,但在互联网传输简单文本不是个好想法.因为这可以让黑客很容易获得你的私人信息,例如你的ID,密码,信用卡信息等. 咱不想这么被动,因此我们">
<meta property="og:type" content="article">
<meta property="og:title" content="SpringCloudPractice02">
<meta property="og:url" content="https://zhangbo4881820.gitee.io/myblog/posts/19354/index.html">
<meta property="og:site_name" content="静待花开">
<meta property="og:description" content="SpringCloud权限认证 启用SSL(Secure Socket Layer)  认证和授权(Authentication and Authorization)  OAuth2   启用SSL基础目前为止,我们使用http协议,http使用简单文本传输数据,但在互联网传输简单文本不是个好想法.因为这可以让黑客很容易获得你的私人信息,例如你的ID,密码,信用卡信息等. 咱不想这么被动,因此我们">
<meta property="og:locale" content="zh_CN">
<meta property="og:image" content="https://i.loli.net/2021/02/24/5O1day2nriDzjSu.png">
<meta property="article:published_time" content="2019-12-05T02:49:50.000Z">
<meta property="article:modified_time" content="2023-09-07T09:44:01.903Z">
<meta property="article:author" content="brad 随风起舞">
<meta property="article:tag" content="springCloud">
<meta name="twitter:card" content="summary">
<meta name="twitter:image" content="https://i.loli.net/2021/02/24/5O1day2nriDzjSu.png"><link rel="shortcut icon" href="/myblog/img/favicon.png"><link rel="canonical" href="https://zhangbo4881820.gitee.io/myblog/posts/19354/index.html"><link rel="preconnect" href="//cdn.jsdelivr.net"/><link rel="preconnect" href="//busuanzi.ibruce.info"/><link rel="stylesheet" href="/myblog/css/index.css"><link rel="stylesheet" href="/myblog/css/all.min.css" media="print" onload="this.media='all'"><link rel="stylesheet" href="/myblog/css/fancybox.css" media="print" onload="this.media='all'"><script>const GLOBAL_CONFIG = {
  root: '/myblog/',
  algolia: undefined,
  localSearch: {"path":"/myblog/search.xml","preload":false,"top_n_per_article":1,"unescape":false,"languages":{"hits_empty":"找不到您查询的内容：${query}","hits_stats":"共找到 ${hits} 篇文章"}},
  translate: undefined,
  noticeOutdate: undefined,
  highlight: {"plugin":"highlighjs","highlightCopy":true,"highlightLang":true,"highlightHeightLimit":false},
  copy: {
    success: '复制成功',
    error: '复制错误',
    noSupport: '浏览器不支持'
  },
  relativeDate: {
    homepage: false,
    post: false
  },
  runtime: '',
  dateSuffix: {
    just: '刚刚',
    min: '分钟前',
    hour: '小时前',
    day: '天前',
    month: '个月前'
  },
  copyright: undefined,
  lightbox: 'fancybox',
  Snackbar: undefined,
  source: {
    justifiedGallery: {
      js: 'https://cdn.jsdelivr.net/npm/flickr-justified-gallery/dist/fjGallery.min.js',
      css: 'https://cdn.jsdelivr.net/npm/flickr-justified-gallery/dist/fjGallery.min.css'
    }
  },
  isPhotoFigcaption: false,
  islazyload: false,
  isAnchor: false,
  percent: {
    toc: true,
    rightside: false,
  },
  autoDarkmode: false
}</script><script id="config-diff">var GLOBAL_CONFIG_SITE = {
  title: 'SpringCloudPractice02',
  isPost: true,
  isHome: false,
  isHighlightShrink: true,
  isToc: true,
  postUpdate: '2023-09-07 17:44:01'
}</script><noscript><style type="text/css">
  #nav {
    opacity: 1
  }
  .justified-gallery img {
    opacity: 1
  }

  #recent-posts time,
  #post-meta time {
    display: inline !important
  }
</style></noscript><script>(win=>{
    win.saveToLocal = {
      set: function setWithExpiry(key, value, ttl) {
        if (ttl === 0) return
        const now = new Date()
        const expiryDay = ttl * 86400000
        const item = {
          value: value,
          expiry: now.getTime() + expiryDay,
        }
        localStorage.setItem(key, JSON.stringify(item))
      },

      get: function getWithExpiry(key) {
        const itemStr = localStorage.getItem(key)

        if (!itemStr) {
          return undefined
        }
        const item = JSON.parse(itemStr)
        const now = new Date()

        if (now.getTime() > item.expiry) {
          localStorage.removeItem(key)
          return undefined
        }
        return item.value
      }
    }
  
    win.getScript = url => new Promise((resolve, reject) => {
      const script = document.createElement('script')
      script.src = url
      script.async = true
      script.onerror = reject
      script.onload = script.onreadystatechange = function() {
        const loadState = this.readyState
        if (loadState && loadState !== 'loaded' && loadState !== 'complete') return
        script.onload = script.onreadystatechange = null
        resolve()
      }
      document.head.appendChild(script)
    })
  
    win.getCSS = (url,id = false) => new Promise((resolve, reject) => {
      const link = document.createElement('link')
      link.rel = 'stylesheet'
      link.href = url
      if (id) link.id = id
      link.onerror = reject
      link.onload = link.onreadystatechange = function() {
        const loadState = this.readyState
        if (loadState && loadState !== 'loaded' && loadState !== 'complete') return
        link.onload = link.onreadystatechange = null
        resolve()
      }
      document.head.appendChild(link)
    })
  
      win.activateDarkMode = function () {
        document.documentElement.setAttribute('data-theme', 'dark')
        if (document.querySelector('meta[name="theme-color"]') !== null) {
          document.querySelector('meta[name="theme-color"]').setAttribute('content', '#0d0d0d')
        }
      }
      win.activateLightMode = function () {
        document.documentElement.setAttribute('data-theme', 'light')
        if (document.querySelector('meta[name="theme-color"]') !== null) {
          document.querySelector('meta[name="theme-color"]').setAttribute('content', '#ffffff')
        }
      }
      const t = saveToLocal.get('theme')
    
          if (t === 'dark') activateDarkMode()
          else if (t === 'light') activateLightMode()
        
      const asideStatus = saveToLocal.get('aside-status')
      if (asideStatus !== undefined) {
        if (asideStatus === 'hide') {
          document.documentElement.classList.add('hide-aside')
        } else {
          document.documentElement.classList.remove('hide-aside')
        }
      }
    
    const detectApple = () => {
      if(/iPad|iPhone|iPod|Macintosh/.test(navigator.userAgent)){
        document.documentElement.classList.add('apple')
      }
    }
    detectApple()
    })(window)</script><meta name="generator" content="Hexo 7.0.0-rc2"><link rel="alternate" href="/myblog/atom.xml" title="静待花开" type="application/atom+xml">
</head><body><div id="sidebar"><div id="menu-mask"></div><div id="sidebar-menus"><div class="avatar-img is-center"><img src="https://i.loli.net/2021/02/24/5O1day2nriDzjSu.png" onerror="onerror=null;src='/img/friend_404.gif'" alt="avatar"/></div><div class="sidebar-site-data site-data is-center"><a href="/myblog/archives/"><div class="headline">文章</div><div class="length-num">57</div></a><a href="/myblog/tags/"><div class="headline">标签</div><div class="length-num">20</div></a><a href="/myblog/categories/"><div class="headline">分类</div><div class="length-num">25</div></a></div><hr class="custom-hr"/><div class="menus_items"><div class="menus_item"><a class="site-page" href="/myblog/"><i class="fa-fw fas fa-home"></i><span> 首页</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/archives/"><i class="fa-fw fas fa-archive"></i><span> 时间轴</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/tags/"><i class="fa-fw fas fa-tags"></i><span> 标签</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/categories/"><i class="fa-fw fas fa-folder-open"></i><span> 分类</span></a></div><div class="menus_item"><a class="site-page group" href="javascript:void(0);"><i class="fa-fw fas fa-list"></i><span> 分享</span><i class="fas fa-chevron-down"></i></a><ul class="menus_item_child"><li><a class="site-page child" href="/myblog/Gallery/"><i class="fa-fw fas fa-images"></i><span> 照片</span></a></li><li><a class="site-page child" href="/myblog/music/"><i class="fa-fw fas fa-music"></i><span> 音乐</span></a></li><li><a class="site-page child" href="/myblog/movies/"><i class="fa-fw fas fa-video"></i><span> 视频</span></a></li></ul></div><div class="menus_item"><a class="site-page" href="/myblog/link/"><i class="fa-fw fas fa-link"></i><span> 友链</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/about/"><i class="fa-fw fas fa-heart"></i><span> 关于</span></a></div></div></div></div><div class="post" id="body-wrap"><header class="not-top-img" id="page-header"><nav id="nav"><span id="blog-info"><a href="/myblog/" title="静待花开"><span class="site-name">静待花开</span></a></span><div id="menus"><div id="search-button"><a class="site-page social-icon search" href="javascript:void(0);"><i class="fas fa-search fa-fw"></i><span> 搜索</span></a></div><div class="menus_items"><div class="menus_item"><a class="site-page" href="/myblog/"><i class="fa-fw fas fa-home"></i><span> 首页</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/archives/"><i class="fa-fw fas fa-archive"></i><span> 时间轴</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/tags/"><i class="fa-fw fas fa-tags"></i><span> 标签</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/categories/"><i class="fa-fw fas fa-folder-open"></i><span> 分类</span></a></div><div class="menus_item"><a class="site-page group" href="javascript:void(0);"><i class="fa-fw fas fa-list"></i><span> 分享</span><i class="fas fa-chevron-down"></i></a><ul class="menus_item_child"><li><a class="site-page child" href="/myblog/Gallery/"><i class="fa-fw fas fa-images"></i><span> 照片</span></a></li><li><a class="site-page child" href="/myblog/music/"><i class="fa-fw fas fa-music"></i><span> 音乐</span></a></li><li><a class="site-page child" href="/myblog/movies/"><i class="fa-fw fas fa-video"></i><span> 视频</span></a></li></ul></div><div class="menus_item"><a class="site-page" href="/myblog/link/"><i class="fa-fw fas fa-link"></i><span> 友链</span></a></div><div class="menus_item"><a class="site-page" href="/myblog/about/"><i class="fa-fw fas fa-heart"></i><span> 关于</span></a></div></div><div id="toggle-menu"><a class="site-page" href="javascript:void(0);"><i class="fas fa-bars fa-fw"></i></a></div></div></nav></header><main class="layout" id="content-inner"><div id="post"><div id="post-info"><h1 class="post-title">SpringCloudPractice02</h1><div id="post-meta"><div class="meta-firstline"><span class="post-meta-date"><i class="far fa-calendar-alt fa-fw post-meta-icon"></i><span class="post-meta-label">发表于</span><time class="post-meta-date-created" datetime="2019-12-05T02:49:50.000Z" title="发表于 2019-12-05 10:49:50">2019-12-05</time><span class="post-meta-separator">|</span><i class="fas fa-history fa-fw post-meta-icon"></i><span class="post-meta-label">更新于</span><time class="post-meta-date-updated" datetime="2023-09-07T09:44:01.903Z" title="更新于 2023-09-07 17:44:01">2023-09-07</time></span><span class="post-meta-categories"><span class="post-meta-separator">|</span><i class="fas fa-inbox fa-fw post-meta-icon"></i><a class="post-meta-categories" href="/myblog/categories/springCloud/">springCloud</a></span></div><div class="meta-secondline"><span class="post-meta-separator">|</span><span class="post-meta-pv-cv" id="" data-flag-title="SpringCloudPractice02"><i class="far fa-eye fa-fw post-meta-icon"></i><span class="post-meta-label">阅读量:</span><span id="busuanzi_value_page_pv"><i class="fa-solid fa-spinner fa-spin"></i></span></span></div></div></div><article class="post-content" id="article-container"><h1 id="SpringCloud权限认证"><a href="#SpringCloud权限认证" class="headerlink" title="SpringCloud权限认证"></a>SpringCloud权限认证</h1><ol>
<li><p><strong>启用SSL(Secure Socket Layer)</strong></p>
</li>
<li><p><strong>认证和授权(Authentication and Authorization)</strong></p>
</li>
<li><p><strong>OAuth2</strong></p>
</li>
</ol>
<h2 id="启用SSL"><a href="#启用SSL" class="headerlink" title="启用SSL"></a>启用SSL</h2><h3 id="基础"><a href="#基础" class="headerlink" title="基础"></a>基础</h3><p>目前为止,我们使用http协议,http使用简单文本传输数据,但在互联网传输简单文本不是个好想法.因为这可以让黑客很容易获得你的私人信息,例如你的ID,密码,信用卡信息等.</p>
<p>咱不想这么被动,因此我们通过最安全的方式访问我们的应用.因此我们需要加密数据.我们使用<strong>SSL</strong>或者**TSL(Transport Security Layer)**去加密数据</p>
<p>SSL是一种协议,被设计于为互联网交互提供安全.HTTP关联SSL可以提供http的安全实现,简称https.https确保隐私和交互书的完整性收到保护.他也确保web访问的可靠性.安全中心在服务主机应用,用户的机器终端,和第三方受信任的存储服务之间分发签名的数字认证书.过程如下:</p>
<ol>
<li><p>用户终端发送请求到web应用,例如访问(<a href="http://www.baidu.com/">http://www.baidu.com</a>)</p>
</li>
<li><p>收到请求,服务端转发到(<a href="https://www.baidu.com/">https://www.baidu.com</a>).</p>
</li>
<li><p>用户终端连接到(<a href="https://www.baidu.com/">https://www.baidu.com</a>) 并且收到一个带有数字签名的认证响应</p>
</li>
<li><p>用户端浏览器收到认证并检查受信认证机构(certificate authority(CA))列表去核实.</p>
</li>
<li><p>一旦认证获得核实,加密交互就被建立在用户端和应用主机服务</p>
</li>
</ol>
<p><em>尽管SSL可以确保加密和Web应用程序真实性方面的安全性，但是它无法防范网络钓鱼和其他攻击。<br>专业黑客可以解密使用HTTPS发送的信息。</em></p>
<h3 id="搭建-keytool生成SSL"><a href="#搭建-keytool生成SSL" class="headerlink" title="搭建(keytool生成SSL)"></a>搭建(keytool生成SSL)</h3><p>首先在网关服务中搭建SSL.我们需要拥有keystore,在内嵌tomcat中启用ssl是需要这玩意的.我们使用自签名(slef-signed)认证来演示<br>我们使用java的keytool来生成keystore,使用如下命令:</p>
<pre><code>&gt; keytool -genkey -keyalg RSA -alias selfsigned -keystore E:/keystore.jks -ext san=dns:localhost  -keypass password -storepass password 
</code></pre>
<p><img src="/myblog/image/keytoolgenerationssl.png"></p>
<p>注意一下几个要点:</p>
<ul>
<li><p>使用-ext定义主题备用名称（SAN）。您也可以使用IP（例如san &#x3D; ip：190.19.0.11）。以前，使用机器的主机名（在该主机上进行应用程序部署）被用作最常用的名称（CN）。它防止java.security.cert.CertificateException返回没有找到与本地主机匹配的名称。</p>
</li>
<li><p>将生成的keystore.jks导出证书命令如下:</p>
<blockquote>
<p>PS E:&gt; keytool -export -alias selfsigned -file keystore.crt -keystore keystore.jks</p>
</blockquote>
</li>
<li><p>您可以使用浏览器或OpenSSL下载证书。使用keytool -importcert命令，将新生成的证书添加到位于活动JDK&#x2F;JRE主目录内jre&#x2F;lib&#x2F;security&#x2F;cacerts的cacerts密钥库中。请注意，<strong>changeit</strong>是cacerts密钥库的默认密码。运行以下命令</p>
<blockquote>
<p>PS C:\Program Files\Java\jdk1.8.0_144\jre\lib\security&gt; keytool -import -keystore cacerts -file E:&#x2F;keystore.crt -alias selfsigned<br>  删除证书命令<br>  keytool -delete -alias taobao -keystore “%JAVA_HOME%&#x2F;jre&#x2F;lib&#x2F;security&#x2F;cacerts”  -storepass changeit</p>
</blockquote>
</li>
</ul>
<p><em>自签名证书只能用于开发和测试目的。在生产环境中使用这些证书不能提供所需的安全性。在生产环境中，请始终使用由受信任的签名机构提供和签名的证书。安全地存储您的私钥</em></p>
<p>现在,就可以把<code>keystore.jks</code>放在项目里的<code>src/main/resources</code>目录里了.并且配置yml文件.在边缘(网关)项目配置如下</p>
<blockquote>
<p>server:<br>    ssl:<br>        key-store: classpath:keystore.jks<br>        key-store-password: password<br>        key-password: password<br>    port: 8765</p>
</blockquote>
<h2 id="认证授权-OAuth2-0"><a href="#认证授权-OAuth2-0" class="headerlink" title="认证授权 OAuth2.0"></a>认证授权 OAuth2.0</h2><p><strong>4种角色定义</strong></p>
<ol>
<li><p>资源拥有者(Resource owner)</p>
</li>
<li><p>资源服务(Resource server)</p>
</li>
<li><p>客户(Client)</p>
</li>
<li><p>授权服务(Authorization server)</p>
</li>
</ol>
<p><img src="/myblog/iamge/oauth2roleimage.png"></p>
<h3 id="资源拥有者"><a href="#资源拥有者" class="headerlink" title="资源拥有者"></a>资源拥有者</h3><p>对于使用Twitter登录Quora的示例，Twitter用户是资源所有者。资源所有者是拥有要共享的受保护资源（例如，用户句柄，tweet等）的实体。该实体可以是应用程序或个人。我们将此实体称为资源所有者，因为它只能授予对其资源的访问权限。规范还定义了当资源所有者是一个人时，他们被称为最终用户</p>
<h3 id="资源服务"><a href="#资源服务" class="headerlink" title="资源服务"></a>资源服务</h3><p>资源服务器托管受保护的资源。它应该能够使用访问令牌为这些资源提供访问请求。对于使用Twitter登录Quora的示例，Twitter是资源服务器。</p>
<h3 id="客户"><a href="#客户" class="headerlink" title="客户"></a>客户</h3><p>对于使用Twitter登录Quora的示例，Quora是客户端。客户端是代表资源所有者向资源服务器发出受保护资源访问请求的应用程序。</p>
<h3 id="授权服务"><a href="#授权服务" class="headerlink" title="授权服务"></a>授权服务</h3><p>仅在资源所有者对自身进行身份验证之后，授权服务器才向客户端应用程序提供不同的令牌，例如访问令牌或刷新令牌</p>
<p>OAuth 2.0没有为资源服务器和授权服务器之间的交互提供任何规范。因此，授权服务器和资源服务器可以位于同一服务器上，也可以位于单独的服务器上。</p>
<p>单个授权服务器也可以用于为多个资源服务器颁发访问令牌。</p>
<h2 id="OAuth2-0-客户端注册"><a href="#OAuth2-0-客户端注册" class="headerlink" title="OAuth2.0 客户端注册"></a>OAuth2.0 客户端注册</h2><p>与授权服务器进行通信以获得资源的访问密钥的客户端应首先在授权服务器上注册。OAuth 2.0规范未指定客户端向授权服务器注册的方式。注册不需要客户端与授权服务器之间的直接通信。可以使用自行发出或第三方发出的声明进行注册。授权服务器使用这些断言之一获取所需的客户端属性。让我们看看客户端的属性是什么:</p>
<ul>
<li><p>Client type</p>
</li>
<li><p>客户端重定向URI，如我们在使用Twitter登录Quora的示例中所讨论的。这是用于OAuth 2.0的端点之一。</p>
</li>
<li><p>授权服务器需要的任何其他信息，例如，客户名称，描述，徽标图像，联系方式，法律条款和条件的接受等</p>
</li>
</ul>
<p><strong>客户端类型</strong><br>规范描述了两种类型的客户端，基于它们维护客户端凭据的机密性的能力：机密的和公开的。客户端凭据是授权服务器为与客户端进行通信而发布给客户端的秘密令牌。客户端类型描述如下</p>
<ul>
<li><p><strong>机密客户端类型:</strong> 这是一个客户端应用程序，可以安全地保留密码和其他凭据，或者将其保密。在使用Twitter登录Quora的示例中，Quora应用程序服务器是安全的，并且具有受限的访问实现。因此，它属于机密客户端类型。仅Quora应用程序管理员有权访问客户端凭据。</p>
</li>
<li><p><strong>公用客户端类型:</strong> 这些客户端应用程序不能安全地保存密码和其他凭据，也不会对它们进行保密。移动或台式机上的任何本机应用程序，或在浏览器上运行的应用程序，都是公共客户端类型的完美示例，因为它们将客户端凭据嵌入其中。黑客可以破解这些应用程序，并且可以泄露客户端凭据。</p>
</li>
</ul>
<p>客户端可以是基于分布式组件的应用程序，例如，它可以同时具有Web浏览器组件和服务器端组件。在这种情况下，两个组件将具有不同的客户端类型和安全上下文。如果授权服务器不支持此类客户端，则此类客户端应将每个组件注册为单独的客户端。</p>
<p><strong>客户端配置</strong></p>
<ul>
<li><strong>Web应用程序</strong> 在使用Twitter进行Quora登录的示例中使用的Quora Web应用程序是OAuth 2.0 Web应用程序客户端配置文件的完美示例。Quora是运行在Web服务器上的机密客户端。资源所有者（最终用户）使用其设备（台式机&#x2F;平板电脑&#x2F;手机）上的HTML用户界面访问浏览器（用户代理）上的Quora应用程序（OAuth 2.0客户端）。资源所有者无法访问客户端（Quora OAuth 2.0客户端）凭据和访问令牌，因为它们存储在Web服务器上。<br>您可以在OAuth 2.0示例流程的图表中看到此行为。</li>
</ul>
<h2 id="客户端识别"><a href="#客户端识别" class="headerlink" title="客户端识别"></a>客户端识别</h2><p>授权服务器负责向注册的客户端提供唯一的标识符。该客户端标识符是注册客户端提供的信息的字符串表示。授权服务器需要确保该标识符是唯一的。授权服务器不应单独使用它进行身份验证。</p>
<p>OAuth 2.0规范未指定客户端标识符的大小。授权服务器可以设置大小，并且它应记录其颁发的客户端标识符的大小。</p>
<h2 id="客户端认证"><a href="#客户端认证" class="headerlink" title="客户端认证"></a>客户端认证</h2><p>授权服务器应根据其客户端类型对客户端进行身份验证。授权服务器应确定适合并满足安全要求的身份验证方法。每个请求中只能使用一种身份验证方法</p>
<p>通常，授权服务器使用一组客户端凭据（例如客户端密码和一些密钥令牌）来认证机密客户端。</p>
<p>授权服务器可以与公共客户端建立客户端认证方法。但是，出于安全原因，它一定不能依靠此身份验证方法来标识客户端。</p>
<p>拥有客户端密码的客户端可以使用基本的HTTP身份验证。OAuth 2.0不建议在请求正文中发送客户端凭据，但建议在身份验证所需的端点上使用TLS和蛮力攻击防护。</p>
<h2 id="OAuth-2-0协议端点"><a href="#OAuth-2-0协议端点" class="headerlink" title="OAuth 2.0协议端点"></a>OAuth 2.0协议端点</h2><p>端点不过是我们用于REST或Web组件（例如Servlet或JSP）的URI。OAuth 2.0定义了三种端点类型。两个是授权服务器端点，一个是客户端端点</p>
<ul>
<li><p>授权端点(授权服务器端点)</p>
</li>
<li><p>Token端点(授权服务器端点)</p>
</li>
<li><p>转发端点(客户端端点)</p>
</li>
</ul>
<h3 id="授权端点"><a href="#授权端点" class="headerlink" title="授权端点"></a><strong>授权端点</strong></h3><p>该端点负责验证资源所有者的身份，并在验证后获得授权授权。</p>
<p>授权服务器需要TLS作为授权端点。端点URI不得包含片段组件。授权端点必须支持HTTP GET方法</p>
<p>该规范未指定以下内容:</p>
<ul>
<li><p>授权服务器对客户端进行身份验证的方式。</p>
</li>
<li><p>客户端将如何接收授权端点URI。通常，文档包含授权端点URI，或者客户端在注册时获取它</p>
</li>
</ul>
<h3 id="Token端点"><a href="#Token端点" class="headerlink" title="Token端点"></a><strong>Token端点</strong></h3><p>客户端通过发送授权分配或刷新令牌来调用令牌端点以接收访问令牌。除隐式授权外，所有授权分配都使用令牌端点</p>
<p>与授权端点一样，令牌端点也需要TLS。客户端必须使用HTTP POST方法向令牌端点发出请求。</p>
<p>与授权端点一样，规范未指定客户端将如何接收令牌端点URI。</p>
<h3 id="转发端点"><a href="#转发端点" class="headerlink" title="转发端点"></a><strong>转发端点</strong></h3><p>一旦在资源所有者和授权服务器之间完成了授权端点的交互，授权服务器便使用重定向端点将资源所有者的用户代理（例如Web浏览器）重定向回客户端。客户端在注册时提供重定向端点。重定向端点必须是绝对URI，并且不包含片段组件。OAuth 2.0端点如下:</p>
<p><img src="/myblog/image/oauth2endpoint.png"></p>
<h2 id="OAuth-2-0-的授予-grant-类型"><a href="#OAuth-2-0-的授予-grant-类型" class="headerlink" title="OAuth 2.0 的授予(grant)类型"></a>OAuth 2.0 的授予(grant)类型</h2><p>客户端根据从资源所有者获得的授权，从授权服务器请求访问令牌。资源所有者以授权分配的形式给予授权。OAuth 2.0定义了四种类型的授权授权:</p>
<ul>
<li><p>授权码授予</p>
</li>
<li><p>隐式授予</p>
</li>
<li><p>资源拥有者密码凭证授予</p>
</li>
<li><p>客户凭证授予</p>
</li>
</ul>
<p>OAuth 2.0还提供了扩展机制来定义其他授权类型。您可以在OAuth 2.0官方规范中对此进行探讨</p>
<h3 id="授权码授予"><a href="#授权码授予" class="headerlink" title="授权码授予"></a><strong>授权码授予</strong></h3><p>客户端向授权服务器发出的请求总数为两个，服务器提供两个响应：一个对身份验证令牌的请求响应和一个对访问令牌的请求响应<br>服务器提供两个响应：一个对身份验证令牌的请求响应和一个对访问令牌的请求响应</p>
<p><img src="/myblog/image/codegrantflow.png"></p>
<p><strong>对授权端点URI的授权请求:</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>response_type</td>
<td>Required</td>
<td>code(这个值必须使用)</td>
</tr>
<tr>
<td>client_id</td>
<td>Required</td>
<td>它代表授权服务器在注册时向客户端发布的ID。</td>
</tr>
<tr>
<td>redirect_uri</td>
<td>optional</td>
<td>它表示注册时客户端提供的重定向URI。</td>
</tr>
<tr>
<td>scope</td>
<td>optional</td>
<td>请求的范围。如果未提供，则授权服务器根据定义的策略提供范围。</td>
</tr>
<tr>
<td>state</td>
<td>推荐</td>
<td>请求和回调（来自授权服务器)该规范建议使用它来防止跨站点请求伪造攻击</td>
</tr>
</tbody></table>
<p><strong>授权响应:</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>code</td>
<td>Required</td>
<td>授权服务器生成的代码.代码生成后应该过期；建议的最大使用寿命为10分钟.客户端必须使用这个代码没有超过一次如果客户端不止一次使用它，则该请求必须被拒绝，并且基于该代码发布的所有先前令牌都应被吊销代码绑定到客户端ID和重定向URI。</td>
</tr>
<tr>
<td>state</td>
<td>Required</td>
<td>客户端使用此参数来维护请求和回调（来自授权服务器）之间的客户端状态。该规范建议使用它来防止跨站点请求伪造攻击。</td>
</tr>
</tbody></table>
<p><strong>向token端点uri发送token请求:</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>grant_type</td>
<td>Required</td>
<td>authorization_code(这个值必须使用)</td>
</tr>
<tr>
<td>code</td>
<td>Required</td>
<td>从授权服务接收的(authorization code)</td>
</tr>
<tr>
<td>redirect_uri</td>
<td>Required</td>
<td>如果授权码请求中包含了该密码，并且这些值应该匹配，则为必需。</td>
</tr>
<tr>
<td>client_id</td>
<td>Required</td>
<td>它代表授权服务器在注册时向客户端发布的ID</td>
</tr>
</tbody></table>
<p><strong>Token 响应</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>access_token</td>
<td>Required</td>
<td>通过授权服务提供的访问token</td>
</tr>
<tr>
<td>token_type</td>
<td>Required</td>
<td>token_type是授权服务定义的.基于此,客户端能够使用访问token,例如Bearer或Mac</td>
</tr>
<tr>
<td>refresh_token</td>
<td>optional</td>
<td>客户端可以使用此令牌使用相同的授权授予来获取新的访问令牌。</td>
</tr>
<tr>
<td>expires_in</td>
<td>推荐</td>
<td>表示访问令牌的生存期（以秒为单位）。值600表示访问令牌的生命周期为10分钟。如果响应中未提供此参数，则文档应突出显示访问令牌的生存期</td>
</tr>
<tr>
<td>scope</td>
<td>Optional&#x2F;Required</td>
<td>如果与客户端请求的范围相同，则为可选.如果访问令牌范围不同于客户端在其请求中提供的那种，以告知客户端有关授予的访问令牌的实际范围，则为必需。如果客户端在请求访问令牌时未提供范围，则授权服务器应提供默认范围，或拒绝该请求，以指示无效范围</td>
</tr>
</tbody></table>
<p><strong>错误响应</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>error</td>
<td>Required</td>
<td>规范中定义的错误代码之一，例如，authorized_client或invalid_scope。</td>
</tr>
<tr>
<td>error_description</td>
<td>optional</td>
<td>错误简短描述</td>
</tr>
<tr>
<td>error_uri</td>
<td>optional</td>
<td>描述错误的错误页面的uri</td>
</tr>
</tbody></table>
<p>如果在客户端授权请求中传递了错误状态，则还会在错误响应中发送其他错误参数状态</p>
<h3 id="隐式授予-implicit-grant"><a href="#隐式授予-implicit-grant" class="headerlink" title="隐式授予(implicit grant)"></a>隐式授予(implicit grant)</h3><p>隐式授予流程中不涉及授权代码步骤。它为授权代码提供隐式授权。除了授权代码步骤，如果将隐式授权流程与授权代码授权流程进行比较，则一切都相同。因此，它称为隐式授予</p>
<p><strong>对授权端点URI的授权请求：</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>response_type</td>
<td>Required</td>
<td>Token(这个值必须使用)</td>
</tr>
<tr>
<td>client_id</td>
<td>Required</td>
<td>在注册时候授权服务向客户端给出的ID</td>
</tr>
<tr>
<td>redirect_uri</td>
<td>optional</td>
<td>在注册时候通过客户端给于的转发URI</td>
</tr>
<tr>
<td>scope</td>
<td>optional</td>
<td>请求范围.如果没提供,那么授权服务会依据定义好的策略提供一个范围</td>
</tr>
<tr>
<td>state</td>
<td>推荐</td>
<td>客户端使用此参数来维护请求和回调（来自授权服务器）之间的客户端状态。该规范建议使用它来防止跨站点请求伪造攻击。</td>
</tr>
</tbody></table>
<p><strong>访问token响应</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>access_token</td>
<td>Required</td>
<td>通过授权服务提供的访问token</td>
</tr>
<tr>
<td>token_type</td>
<td>Required</td>
<td>token_type是授权服务定义的.基于此,客户端能够使用访问token,例如Bearer或Mac</td>
</tr>
<tr>
<td>refresh_token</td>
<td>optional</td>
<td>客户端可以使用此令牌使用相同的授权授予来获取新的访问令牌。</td>
</tr>
<tr>
<td>expires_in</td>
<td>推荐</td>
<td>表示访问令牌的生存期（以秒为单位）。值600表示访问令牌的生命周期为10分钟。如果响应中未提供此参数，则文档应突出显示访问令牌的生存期</td>
</tr>
<tr>
<td>scope</td>
<td>Required&#x2F;optional</td>
<td>如果与客户端请求的范围相同，则为可选.如果访问令牌范围不同于客户端在其请求中提供的那种，以告知客户端有关授予的访问令牌的实际范围，则为必需。如果客户端在请求访问令牌时未提供范围，则授权服务器应提供默认范围，或拒绝该请求，以指示无效范围</td>
</tr>
<tr>
<td>state</td>
<td>Required&#x2F;optional</td>
<td>如果状态在客户端授权请求中提供了，则为必需。</td>
</tr>
</tbody></table>
<h3 id="资源拥有者密码凭证授予"><a href="#资源拥有者密码凭证授予" class="headerlink" title="资源拥有者密码凭证授予"></a>资源拥有者密码凭证授予</h3><p>此流程通常在移动或桌面应用程序上使用.在此授予流中，仅发出两个请求：一个用于请求访问令牌，另一个用于访问令牌验证，类似于隐式授予流。唯一的区别是资源所有者的用户名和密码与访问令牌请求一起发送。</p>
<p><strong>访问token请求到token端点URI：</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>grant_type</td>
<td>Required</td>
<td>Password(这个值必须使用)</td>
</tr>
<tr>
<td>username</td>
<td>Required</td>
<td>用户账号</td>
</tr>
<tr>
<td>password</td>
<td>Required</td>
<td>用户密码</td>
</tr>
<tr>
<td>scope</td>
<td>optional</td>
<td>请求的范围。如果未提供，则授权服务器根据定义的策略提供范围。</td>
</tr>
</tbody></table>
<p><strong>访问令牌响应</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>access_token</td>
<td>Required</td>
<td>通过授权服务提供的访问token</td>
</tr>
<tr>
<td>token_type</td>
<td>Required</td>
<td>token_type是授权服务定义的.基于此,客户端能够使用访问token,例如Bearer或Mac</td>
</tr>
<tr>
<td>refresh_token</td>
<td>optional</td>
<td>客户端可以使用此令牌使用相同的授权授予来获取新的访问令牌。</td>
</tr>
<tr>
<td>expires_in</td>
<td>推荐</td>
<td>表示访问令牌的生存期（以秒为单位）。值600表示访问令牌的生命周期为10分钟。如果响应中未提供此参数，则文档应突出显示访问令牌的生存期</td>
</tr>
<tr>
<td>Optional parameter</td>
<td>optional</td>
<td>添加的参数</td>
</tr>
</tbody></table>
<h3 id="客户凭证授予"><a href="#客户凭证授予" class="headerlink" title="客户凭证授予"></a>客户凭证授予</h3><p>顾名思义，此处使用的是客户端的凭据，而不是用户（资源所有者）的凭据。除了客户端凭据，它与资源所有者密码凭据授予流程非常相似：客户端总共向授权服务器发出两个请求，授权服务器提供了两个响应：一个对访问令牌的请求响应和对涉及访问令牌验证的资源的一个请求响应。</p>
<p><strong>访问token请求到token端点URI:</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>grant_type</td>
<td>Required</td>
<td>client_credentials(这个值必须使用)</td>
</tr>
<tr>
<td>scope</td>
<td>optional</td>
<td>请求的范围。如果未提供，则授权服务器根据定义的策略提供范围。</td>
</tr>
</tbody></table>
<p><strong>访问token响应:</strong></p>
<table>
<thead>
<tr>
<th>Parameter</th>
<th>Required&#x2F;optional</th>
<th>Description</th>
</tr>
</thead>
<tbody><tr>
<td>access_token</td>
<td>Required</td>
<td>通过授权服务提供的访问token</td>
</tr>
<tr>
<td>token_type</td>
<td>Required</td>
<td>token_type是授权服务定义的.基于此,客户端能够使用访问token,例如Bearer或Mac</td>
</tr>
<tr>
<td>expires_in</td>
<td>推荐</td>
<td>表示访问令牌的生存期（以秒为单位）。值600表示访问令牌的生命周期为10分钟。如果响应中未提供此参数，则文档应突出显示访问令牌的生存期</td>
</tr>
</tbody></table>
<h1 id="oauth使用springSecurity实现代码"><a href="#oauth使用springSecurity实现代码" class="headerlink" title="oauth使用springSecurity实现代码"></a>oauth使用springSecurity实现代码</h1><p>先来创建一个security-service服务来控制授权和认证.作为授权服务</p>
<ol>
<li><p>添加依赖</p>
<pre><code> &lt;dependency&gt; 
     &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
     &lt;artifactId&gt;spring-cloud-starter-security&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
     &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
     &lt;artifactId&gt;spring-cloud-starter-oauth2&lt;/artifactId&gt; 
 &lt;/dependency&gt;
</code></pre>
</li>
<li><p>使用@EnableResourceServer注解在入口应用类上. 这就会允许应用作为一个资源服务来工作.@EnableAuthorizationServer<br>这个注解是我们将用来根据OAuth 2.0规范启用授权服务器的另一个注解.</p>
<pre><code> @SpringBootApplication 
 @RestController 
 @EnableResourceServer 
 public class SecurityApp &#123; 
     @RequestMapping(&quot;/user&quot;) 
     public Principal user(Principal user) &#123; 
         return user; 
     &#125; 
     public static void main(String[] args) &#123; 
         SpringApplication.run(SecurityApp.class, args); 
     &#125; 
     @Configuration 
     @EnableAuthorizationServer 
     protected static class OAuth2Config extends AuthorizationServerConfigurerAdapter &#123; 
         @Autowired 
         private AuthenticationManager authenticationManager; 
     @Override
     public void configure(AuthorizationServerEndpointsConfigurer endpointsConfigurer) throws Exception &#123;
         endpointsConfigurer.authenticationManager(authenticationManager);
     &#125;
     @Override
     public void configure(ClientDetailsServiceConfigurer clientDetailsServiceConfigurer) throws Exception &#123;
         clientDetailsServiceConfigurer.inMemory()
             .withClient(&quot;client&quot;)
             .secret(&quot;clientsecret&quot;)
             .authorizedGrantTypes(&quot;authorization_code&quot;, &quot;refresh_token&quot;, &quot;implicit&quot;, &quot;password&quot;, &quot;client_credentials&quot;)
             .scopes(&quot;apiAccess&quot;);
     &#125;
</code></pre>
</li>
<li><p>更新yml配置文件</p>
<ul>
<li><p>server.contextPath:上下文路径</p>
</li>
<li><p>security.user.password:为了演示使用硬编码密码</p>
<pre><code>  info:
      component:
          Security Server
  server:
      port: 9001
  security:
      user:
          password: password
</code></pre>
</li>
</ul>
</li>
</ol>
<p>现在我们有了安全服务,然后使用<small>api-service</small>服务暴露端点,这些端点用来和外部应用联系.</p>
<p>我们将修改Zuul-Server模块，使其也成为资源服务器。这可以通过执行以下步骤来完成	</p>
<ol>
<li><p>添加Spring Security和Spring Security OAuth 2依赖.下面的最后两个依赖是为了把zuul-service弄成一个资源服务</p>
<pre><code> &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-starter-zuul&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-starter-eureka&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-starter-feign&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-netflix-hystrix-stream&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-starter-bus-amqp&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-starter-stream-rabbit&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-boot-starter-web&lt;/artifactId&gt;
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-starter-security&lt;/artifactId&gt; 
 &lt;/dependency&gt; 
 &lt;dependency&gt; 
 &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; 
 &lt;artifactId&gt;spring-cloud-starter-oauth2&lt;/artifactId&gt; 
 &lt;/dependency&gt;
</code></pre>
</li>
<li><p>使用@EnableResourceServer注解在主类上. 他会允许应用作为资源服务工作</p>
</li>
<li><p>更改zuul-server的yml配置.添加如下:</p>
<pre><code> security:
       oauth2:
         resource:
               user-info-uri: http://localhost:8080/bobo/user
 management:
   security:
     enabled: false
</code></pre>
</li>
</ol>
<p>这里user-info-uri属性意思是安全服务用户uri.使用指向API服务的路由配置，API暴露于外部世界</p>
<p>现在我们已经安装了安全服务器，我们将使用api-service微服务公开我们的API，该服务将用于与外部应用程序和UI进行通信</p>
<h2 id="授权码授予实现"><a href="#授权码授予实现" class="headerlink" title="授权码授予实现"></a><strong>授权码授予实现</strong></h2><p><code>http://localhost:8080/oauth/authorize?response_type=code&amp;client_id=client&amp;redirect_uri=http://localhost:7771/service&amp;scope=apiAccess&amp;state=1234</code></p>
<p>主要访问<code>oauth/authorize</code>端点,提供response_type&#x3D;code(授权类型必须),client_id(代码写死),redirect_uri(授权后转发的地址),scope(写死),state(随机数字).</p>
<p>会弹出登陆,登陆成功后出现授权界面.点击授权后就会连接到redirect_uri&#x3D;<a href="http://localhost:7771/service?code=o8t4fi&state=1234">http://localhost:7771/service?code=o8t4fi&amp;state=1234</a></p>
<p>正如上面的,它会返回授权code和定义的state</p>
<p>接下来就是用授权码去拿token了.我们用postman来操作.</p>
<p>首先添加授权头,client作为username,clientsecret作为password.如下图:</p>
<p><img src="/myblog/image/oauth2postmantoken.png"></p>
<p>接下来添加请求参数.如下图:</p>
<p><img src="/myblog/image/postmenoauth2gettoken.png"></p>
<p>现在拿到token了,我们可以使用此信息来访问资源所有者拥有的资源。如<code>http：//localhost：8765/api/restaurant/1</code>代表ID为1的餐厅.</p>
<p>这里有一个大坑(踩了我很长时间):</p>
<p><code>user-info-uri: http://localhost:8080/bobo/user</code> 这个属性一定要对应授权服务的用户API.方法如下</p>
<pre><code>@RequestMapping(value = &quot;/user&quot;,method = RequestMethod.GET)
public Principal user(Principal user) &#123;
    return user;
&#125;
</code></pre>
<p>这就是返回用户给zuul的,没这玩意 有token,一直提示无效.</p>
<p>接下来演示<strong>隐式授与</strong>的实现</p>
<h2 id="隐式授与实现"><a href="#隐式授与实现" class="headerlink" title="隐式授与实现"></a><strong>隐式授与实现</strong></h2><p>输入以下URL,调用<code>oauth/authorize</code>端点输入参数</p>
<pre><code>https://localhost:8080/bobo/oauth/authorize?response_type=token&amp;redirect_uri=http://localhost:8765&amp;scope=apiAccess&amp;state=553344&amp;client_id=client
</code></pre>
<p>当请求成功浏览器会转发到redirect_uri并带着新参数和值</p>
<pre><code>http://localhost:8765/#access_token=6a233475-a5db-476d-8e31-d0aeb2d003e9&amp;token_type=bearer&amp;state=553344&amp;expires_in=19592
</code></pre>
<p>接下来我们就可以使用access_token来进行访问资源服务了.</p>
<h2 id="资源拥有者密码凭证授予-1"><a href="#资源拥有者密码凭证授予-1" class="headerlink" title="资源拥有者密码凭证授予"></a><strong>资源拥有者密码凭证授予</strong></h2><p>post请求访问<code>oauth/token</code>端点设置参数.具体如下图:</p>
<p><img src="/myblog/image/postmenauthorazation.png"></p>
<p>这里还必须要输入base64的用户名和密码,就是client和clientsecret.这是在配置文件里写死的.</p>
<p><img src="/myblog/image/base64usernamepassword.png"></p>
<p>拿到token后就像上面一样,拿着可以去访问受保护的资源文件</p>
<h2 id="客户凭证授予实现"><a href="#客户凭证授予实现" class="headerlink" title="客户凭证授予实现"></a><strong>客户凭证授予实现</strong></h2><p>这里同样post请求到<code>oauth/token</code>端点,只有两个参数<code>grant_type</code>和<code>scope</code>.同样记得写base64的用户名密码头.</p>
<p><img src="/myblog/image/clientcredentialstoken.png"></p>
<p>同样可以拿这token去访问保护资源.</p>
</article><div class="post-copyright"><div class="post-copyright__author"><span class="post-copyright-meta">文章作者: </span><span class="post-copyright-info"><a href="https://zhangbo4881820.gitee.io/myblog">brad 随风起舞</a></span></div><div class="post-copyright__type"><span class="post-copyright-meta">文章链接: </span><span class="post-copyright-info"><a href="https://zhangbo4881820.gitee.io/myblog/posts/19354/">https://zhangbo4881820.gitee.io/myblog/posts/19354/</a></span></div><div class="post-copyright__notice"><span class="post-copyright-meta">版权声明: </span><span class="post-copyright-info">本博客所有文章除特别声明外，均采用 <a href="https://creativecommons.org/licenses/by-nc-sa/4.0/" target="_blank">CC BY-NC-SA 4.0</a> 许可协议。转载请注明来自 <a href="https://zhangbo4881820.gitee.io/myblog" target="_blank">静待花开</a>！</span></div></div><div class="tag_share"><div class="post-meta__tag-list"><a class="post-meta__tags" href="/myblog/tags/springCloud/">springCloud</a></div><div class="post_share"><div class="social-share" data-image="https://i.loli.net/2021/02/24/5O1day2nriDzjSu.png" data-sites="facebook,twitter,wechat,weibo,qq"></div><link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/social-share.js/1.0.16/css/share.min.css" media="print" onload="this.media='all'"><script src="https://cdnjs.cloudflare.com/ajax/libs/social-share.js/1.0.16/js/social-share.min.js" defer></script></div></div><nav class="pagination-post" id="pagination"><div class="prev-post pull-left"><a href="/myblog/posts/39854/" title="rabbitMQ"><div class="cover" style="background: var(--default-bg-color)"></div><div class="pagination-info"><div class="label">上一篇</div><div class="prev_info">rabbitMQ</div></div></a></div><div class="next-post pull-right"><a href="/myblog/posts/40991/" title="Docker"><div class="cover" style="background: var(--default-bg-color)"></div><div class="pagination-info"><div class="label">下一篇</div><div class="next_info">Docker</div></div></a></div></nav><div class="relatedPosts"><div class="headline"><i class="fas fa-thumbs-up fa-fw"></i><span>相关推荐</span></div><div class="relatedPosts-list"><div><a href="/myblog/posts/55288/" title="SpringCloudPractice"><div class="cover" style="background: var(--default-bg-color)"></div><div class="content is-center"><div class="date"><i class="far fa-calendar-alt fa-fw"></i> 2019-11-29</div><div class="title">SpringCloudPractice</div></div></a></div></div></div></div><div class="aside-content" id="aside-content"><div class="card-widget card-info"><div class="is-center"><div class="avatar-img"><img src="https://i.loli.net/2021/02/24/5O1day2nriDzjSu.png" onerror="this.onerror=null;this.src='/myblog/img/friend_404.gif'" alt="avatar"/></div><div class="author-info__name">brad 随风起舞</div><div class="author-info__description">有些事情需要一辈子的沉淀</div></div><div class="card-info-data site-data is-center"><a href="/myblog/archives/"><div class="headline">文章</div><div class="length-num">57</div></a><a href="/myblog/tags/"><div class="headline">标签</div><div class="length-num">20</div></a><a href="/myblog/categories/"><div class="headline">分类</div><div class="length-num">25</div></a></div><a id="card-info-btn" href="https://github.com/xxxxxx"><i class="fab fa-github"></i><span>Follow Me</span></a><div class="card-info-social-icons is-center"><a class="social-icon" href="https://github.com/xxxxx" target="_blank" title="Github"><i class="fab fa-github" style="color: #24292e;"></i></a><a class="social-icon" href="mailto:xxxxxx@gmail.com" target="_blank" title="Email"><i class="fas fa-envelope" style="color: #4a7dbe;"></i></a></div></div><div class="card-widget card-announcement"><div class="item-headline"><i class="fas fa-bullhorn fa-shake"></i><span>公告</span></div><div class="announcement_content">This is my Blog</div></div><div class="sticky_layout"><div class="card-widget" id="card-toc"><div class="item-headline"><i class="fas fa-stream"></i><span>目录</span><span class="toc-percentage"></span></div><div class="toc-content"><ol class="toc"><li class="toc-item toc-level-1"><a class="toc-link" href="#SpringCloud%E6%9D%83%E9%99%90%E8%AE%A4%E8%AF%81"><span class="toc-number">1.</span> <span class="toc-text">SpringCloud权限认证</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#%E5%90%AF%E7%94%A8SSL"><span class="toc-number">1.1.</span> <span class="toc-text">启用SSL</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#%E5%9F%BA%E7%A1%80"><span class="toc-number">1.1.1.</span> <span class="toc-text">基础</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E6%90%AD%E5%BB%BA-keytool%E7%94%9F%E6%88%90SSL"><span class="toc-number">1.1.2.</span> <span class="toc-text">搭建(keytool生成SSL)</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#%E8%AE%A4%E8%AF%81%E6%8E%88%E6%9D%83-OAuth2-0"><span class="toc-number">1.2.</span> <span class="toc-text">认证授权 OAuth2.0</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#%E8%B5%84%E6%BA%90%E6%8B%A5%E6%9C%89%E8%80%85"><span class="toc-number">1.2.1.</span> <span class="toc-text">资源拥有者</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E8%B5%84%E6%BA%90%E6%9C%8D%E5%8A%A1"><span class="toc-number">1.2.2.</span> <span class="toc-text">资源服务</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E5%AE%A2%E6%88%B7"><span class="toc-number">1.2.3.</span> <span class="toc-text">客户</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E6%8E%88%E6%9D%83%E6%9C%8D%E5%8A%A1"><span class="toc-number">1.2.4.</span> <span class="toc-text">授权服务</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#OAuth2-0-%E5%AE%A2%E6%88%B7%E7%AB%AF%E6%B3%A8%E5%86%8C"><span class="toc-number">1.3.</span> <span class="toc-text">OAuth2.0 客户端注册</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%AF%86%E5%88%AB"><span class="toc-number">1.4.</span> <span class="toc-text">客户端识别</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%AE%A4%E8%AF%81"><span class="toc-number">1.5.</span> <span class="toc-text">客户端认证</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#OAuth-2-0%E5%8D%8F%E8%AE%AE%E7%AB%AF%E7%82%B9"><span class="toc-number">1.6.</span> <span class="toc-text">OAuth 2.0协议端点</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#%E6%8E%88%E6%9D%83%E7%AB%AF%E7%82%B9"><span class="toc-number">1.6.1.</span> <span class="toc-text">授权端点</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#Token%E7%AB%AF%E7%82%B9"><span class="toc-number">1.6.2.</span> <span class="toc-text">Token端点</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E8%BD%AC%E5%8F%91%E7%AB%AF%E7%82%B9"><span class="toc-number">1.6.3.</span> <span class="toc-text">转发端点</span></a></li></ol></li><li class="toc-item toc-level-2"><a class="toc-link" href="#OAuth-2-0-%E7%9A%84%E6%8E%88%E4%BA%88-grant-%E7%B1%BB%E5%9E%8B"><span class="toc-number">1.7.</span> <span class="toc-text">OAuth 2.0 的授予(grant)类型</span></a><ol class="toc-child"><li class="toc-item toc-level-3"><a class="toc-link" href="#%E6%8E%88%E6%9D%83%E7%A0%81%E6%8E%88%E4%BA%88"><span class="toc-number">1.7.1.</span> <span class="toc-text">授权码授予</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E9%9A%90%E5%BC%8F%E6%8E%88%E4%BA%88-implicit-grant"><span class="toc-number">1.7.2.</span> <span class="toc-text">隐式授予(implicit grant)</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E8%B5%84%E6%BA%90%E6%8B%A5%E6%9C%89%E8%80%85%E5%AF%86%E7%A0%81%E5%87%AD%E8%AF%81%E6%8E%88%E4%BA%88"><span class="toc-number">1.7.3.</span> <span class="toc-text">资源拥有者密码凭证授予</span></a></li><li class="toc-item toc-level-3"><a class="toc-link" href="#%E5%AE%A2%E6%88%B7%E5%87%AD%E8%AF%81%E6%8E%88%E4%BA%88"><span class="toc-number">1.7.4.</span> <span class="toc-text">客户凭证授予</span></a></li></ol></li></ol></li><li class="toc-item toc-level-1"><a class="toc-link" href="#oauth%E4%BD%BF%E7%94%A8springSecurity%E5%AE%9E%E7%8E%B0%E4%BB%A3%E7%A0%81"><span class="toc-number">2.</span> <span class="toc-text">oauth使用springSecurity实现代码</span></a><ol class="toc-child"><li class="toc-item toc-level-2"><a class="toc-link" href="#%E6%8E%88%E6%9D%83%E7%A0%81%E6%8E%88%E4%BA%88%E5%AE%9E%E7%8E%B0"><span class="toc-number">2.1.</span> <span class="toc-text">授权码授予实现</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#%E9%9A%90%E5%BC%8F%E6%8E%88%E4%B8%8E%E5%AE%9E%E7%8E%B0"><span class="toc-number">2.2.</span> <span class="toc-text">隐式授与实现</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#%E8%B5%84%E6%BA%90%E6%8B%A5%E6%9C%89%E8%80%85%E5%AF%86%E7%A0%81%E5%87%AD%E8%AF%81%E6%8E%88%E4%BA%88-1"><span class="toc-number">2.3.</span> <span class="toc-text">资源拥有者密码凭证授予</span></a></li><li class="toc-item toc-level-2"><a class="toc-link" href="#%E5%AE%A2%E6%88%B7%E5%87%AD%E8%AF%81%E6%8E%88%E4%BA%88%E5%AE%9E%E7%8E%B0"><span class="toc-number">2.4.</span> <span class="toc-text">客户凭证授予实现</span></a></li></ol></li></ol></div></div><div class="card-widget card-recent-post"><div class="item-headline"><i class="fas fa-history"></i><span>最新文章</span></div><div class="aside-list"><div class="aside-list-item no-cover"><div class="content"><a class="title" href="/myblog/posts/15695/" title="jenkins（1）">jenkins（1）</a><time datetime="2023-09-14T02:17:44.000Z" title="发表于 2023-09-14 10:17:44">2023-09-14</time></div></div><div class="aside-list-item no-cover"><div class="content"><a class="title" href="/myblog/posts/22012/" title="wsl的Ubuntu子系统（1）">wsl的Ubuntu子系统（1）</a><time datetime="2023-09-13T08:42:19.000Z" title="发表于 2023-09-13 16:42:19">2023-09-13</time></div></div><div class="aside-list-item no-cover"><div class="content"><a class="title" href="/myblog/posts/30302/" title="effective-java-(接口优于抽象类)">effective-java-(接口优于抽象类)</a><time datetime="2023-09-12T08:12:48.000Z" title="发表于 2023-09-12 16:12:48">2023-09-12</time></div></div><div class="aside-list-item no-cover"><div class="content"><a class="title" href="/myblog/posts/9473/" title="effective-java(创建和销毁对象--组合的形式优于继承)">effective-java(创建和销毁对象--组合的形式优于继承)</a><time datetime="2023-09-11T08:23:19.000Z" title="发表于 2023-09-11 16:23:19">2023-09-11</time></div></div><div class="aside-list-item no-cover"><div class="content"><a class="title" href="/myblog/posts/16107/" title="Hello World">Hello World</a><time datetime="2023-09-07T09:44:01.910Z" title="发表于 2023-09-07 17:44:01">2023-09-07</time></div></div></div></div></div></div></main><footer id="footer"><div id="footer-wrap"><div class="copyright">&copy;2020 - 2023 By brad 随风起舞</div><div class="framework-info"><span>框架 </span><a href="https://hexo.io">Hexo</a><span class="footer-separator">|</span><span>主题 </span><a href="https://github.com/jerryc127/hexo-theme-butterfly">Butterfly</a></div></div></footer></div><div id="rightside"><div id="rightside-config-hide"><button id="readmode" type="button" title="阅读模式"><i class="fas fa-book-open"></i></button><button id="darkmode" type="button" title="浅色和深色模式转换"><i class="fas fa-adjust"></i></button><button id="hide-aside-btn" type="button" title="单栏和双栏切换"><i class="fas fa-arrows-alt-h"></i></button></div><div id="rightside-config-show"><button id="rightside_config" type="button" title="设置"><i class="fas fa-cog fa-spin"></i></button><button class="close" id="mobile-toc-button" type="button" title="目录"><i class="fas fa-list-ul"></i></button><button id="go-up" type="button" title="回到顶部"><span class="scroll-percent"></span><i class="fas fa-arrow-up"></i></button></div></div><div><script src="/myblog/js/utils.js"></script><script src="/myblog/js/main.js"></script><script src="/myblog/js/fancybox.umd.js"></script><div class="js-pjax"></div><script async data-pjax src="//busuanzi.ibruce.info/busuanzi/2.3/busuanzi.pure.mini.js"></script><div id="local-search"><div class="search-dialog"><nav class="search-nav"><span class="search-dialog-title">搜索</span><span id="loading-status"></span><button class="search-close-button"><i class="fas fa-times"></i></button></nav><div class="is-center" id="loading-database"><i class="fas fa-spinner fa-pulse"></i><span>  数据库加载中</span></div><div class="search-wrap"><div id="local-search-input"><div class="local-search-box"><input class="local-search-box--input" placeholder="搜索文章" type="text"/></div></div><hr/><div class="no-result" id="local-search-results"></div><div id="local-search-stats-wrap"></div></div></div><div id="search-mask"></div><script src="/myblog/js/search/local-search.js"></script></div></div></body></html>